Revelando o esquema de phishing de assinatura Permit2 do Uniswap
Os hackers são uma presença assustadora no ecossistema Web3. Para as equipes de projeto, o código aberto significa que hackers de todo o mundo podem estar de olho em você; um erro em uma linha de código pode deixar uma vulnerabilidade, e as consequências de um incidente de segurança podem ser graves. Para os usuários individuais, se não entenderem o significado de suas ações, cada interação ou assinatura na blockchain pode resultar em roubo de ativos. Portanto, a questão da segurança tem sido um dos problemas mais complicados no mundo das criptomoedas. Devido às características da blockchain, uma vez que os ativos são roubados, é quase impossível recuperá-los, por isso é especialmente importante ter conhecimentos de segurança no mundo das criptomoedas.
Recentemente foi descoberta uma nova técnica de phishing que começou a ganhar destaque nos últimos dois meses; basta assinar e será roubado. A técnica é extremamente oculta e difícil de prevenir, e todos os endereços que interagiram com o Uniswap podem estar em risco. Este artigo irá explicar essa técnica de phishing por assinatura, a fim de evitar mais perdas de ativos.
relato dos acontecimentos
Recentemente, um amigo ( Xiao A ) teve os ativos na sua carteira roubados. Ao contrário das formas comuns de roubo, Xiao A não revelou a chave privada nem interagiu com contratos de sites de phishing. A investigação descobriu que o USDT roubado da carteira de Xiao A foi transferido através da função Transfer From, o que significa que foi outro endereço que operou para mover o Token, e não uma revelação da chave privada da carteira.
Através da consulta dos detalhes da transação, foram encontradas pistas chave:
Um endereço transferiu os ativos do pequeno A para outro endereço
Esta operação interage com o contrato Permit2 da Uniswap.
A questão é como este endereço obteve permissões de ativos? Por que está relacionado com a Uniswap?
A condição para chamar a função Transfer From é que o chamador precisa ter a autorização de limite do Token (approve). A resposta está no fato de que, antes de executar o Transfer From, esse endereço também realizou uma operação de Permit, ambas as operações interagem com o contrato Permit2 da Uniswap.
O contrato Uniswap Permit2 é um novo contrato lançado pela Uniswap no final de 2022, que permite a autorização de tokens para serem compartilhados e geridos em diferentes aplicações, com o objetivo de criar uma experiência de utilizador mais uniforme, mais rentável e mais segura. À medida que mais projetos integram o Permit2, ele pode padronizar a aprovação de tokens em todas as aplicações, melhorando a experiência do utilizador ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
O lançamento do Permit2 pode mudar as regras do jogo em todo o ecossistema Dapp. Nos métodos tradicionais, cada interação de transferência de ativos com um Dapp requer autorização separada. O Permit2 pode eliminar essa etapa, reduzindo efetivamente o custo de interação do usuário e proporcionando uma melhor experiência ao usuário.
Permit2 atua como intermediário entre o usuário e o Dapp, o usuário apenas precisa conceder permissões de Token ao contrato Permit2, todos os Dapps que integram o Permit2 podem compartilhar esse limite de autorização. Isso poderia ser uma situação vantajosa para ambos, mas também pode ser uma arma de dois gumes, o problema reside na forma de interação com o Permit2.
Nos métodos tradicionais de interação, a autorização e a transferência de fundos são interações na cadeia para os usuários. O Permit2 transforma as operações dos usuários em assinaturas fora da cadeia, com todas as operações na cadeia sendo realizadas por um intermediário (, como o contrato Permit2 e os projetos que integram o Permit2 ). A vantagem disso é que, mesmo que a carteira do usuário não tenha ETH, ele pode usar outros Tokens para pagar as taxas de Gas ou ser reembolsado pelo intermediário.
No entanto, a assinatura off-chain é a etapa onde os usuários mais relaxam a vigilância. Muitas pessoas ao usar carteiras para entrar em Dapp não verificam cuidadosamente o conteúdo da assinatura, nem compreendem seu significado, o que é o ponto mais perigoso.
Para usar essa técnica de phishing com a assinatura Permit2, a condição chave é que a carteira alvo do phishing precisa ter autorização de Token para o contrato Permit2 da Uniswap. Atualmente, sempre que você realiza uma troca em um Dapp integrado com o Permit2 ou na Uniswap, é necessário autorizar o contrato Permit2.
O mais assustador é que, independentemente do valor do Swap, o contrato Permit2 da Uniswap irá, por padrão, permitir que os usuários autorizem o saldo total desse Token. Embora o MetaMask permita a entrada de um valor personalizado, a maioria das pessoas pode optar por selecionar diretamente o valor máximo ou o valor padrão, sendo que o valor padrão do Permit2 é um limite infinito.
Isto significa que, desde que tenha interagido com a Uniswap após 2023 e autorizado um montante ao contrato Permit2, poderá estar exposto ao risco deste esquema de phishing.
O foco está na função Permit, que pode transferir o limite de Token autorizado ao contrato Permit2 para outro endereço utilizando a sua carteira. Assim que obtiver a sua assinatura, um hacker pode obter a permissão dos Tokens na sua carteira e transferir os seus ativos.
Como prevenir?
Considerando que o contrato Uniswap Permit2 pode se tornar mais popular no futuro, mais projetos podem integrar o contrato Permit2 para compartilhamento de autorizações, as medidas de prevenção eficazes incluem:
Compreender e identificar o conteúdo da assinatura:
O formato de assinatura do Permit geralmente inclui campos-chave como Owner, Spender, value, nonce e deadline. Se você deseja aproveitar as conveniências e o baixo custo que o Permit2 oferece, deve aprender a reconhecer esse formato de assinatura. Usar um plugin de segurança é uma boa escolha.
Separação do armazenamento de ativos e carteira de interação:
Recomenda-se armazenar uma grande quantidade de ativos em carteiras frias, enquanto as carteiras usadas para interações na cadeia devem conter apenas uma pequena quantia de fundos, o que pode reduzir significativamente as perdas em caso de um golpe de phishing.
Limitar o montante da autorização ou cancelar a autorização:
Ao realizar uma troca no Uniswap, apenas autorize o montante necessário para a interação. Embora a necessidade de autorização a cada interação acrescente alguns custos, pode evitar ser vítima de phishing de assinatura Permit2. Se já tiver autorizado um montante, pode utilizar um plugin de segurança para cancelar a autorização.
Identificar a natureza do token, compreender se suporta a funcionalidade permit:
Com cada vez mais tokens ERC20 a utilizarem este protocolo de extensão para implementar a funcionalidade permit, é necessário prestar atenção se os tokens que possui suportam essa funcionalidade. Se suportarem, deve ter um cuidado especial nas transações ou operações com esses tokens, verificando rigorosamente se cada assinatura desconhecida envolve a função permit.
Elaborar um plano de resgate de ativos completo:
Se descobrir que foi vítima de um esquema, mas ainda possui tokens em outras plataformas através de staking ou outros métodos, é necessário extrair e transferir para um endereço seguro, tendo em atenção que os hackers podem monitorizar o saldo do seu endereço a qualquer momento. Como os hackers têm a sua assinatura, assim que tokens aparecerem no endereço roubado, poderão ser transferidos imediatamente. É necessário elaborar um plano detalhado de resgate de tokens, garantindo que o processo de extração e transferência seja executado em sincronia, não dando aos hackers a oportunidade de inserir transações. Pode considerar usar transferências MEV ou procurar a ajuda de uma empresa de segurança profissional.
No futuro, a pesca com base no Permit2 pode aumentar cada vez mais, sendo este um método de pesca de assinatura extremamente discreto e difícil de prevenir. À medida que a aplicação do Permit2 se expande, mais endereços estarão expostos ao risco. Esperamos que os leitores possam disseminar esta informação para mais pessoas, evitando que mais indivíduos sofram perdas.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
5
Repostar
Compartilhar
Comentário
0/400
WalletDoomsDay
· 08-04 15:25
Todos os dias a brincar com a assinatura, de manhã e à noite a brincar sem moeda.
Ver originalResponder0
LiquidationAlert
· 08-02 23:37
Hacker pode me vigiar? Estou em pânico.
Ver originalResponder0
DataBartender
· 08-02 16:28
É absurdo ter a assinatura roubada! Enviar!
Ver originalResponder0
CryingOldWallet
· 08-02 16:01
Quem ainda se atreve a usar uni?
Ver originalResponder0
AirdropBlackHole
· 08-02 16:00
Já vamos falar sobre a segurança da carteira de novo, não é chato?
Uniswap Permit2 nova técnica de phishing por assinatura: mecanismo, riscos e prevenção
Revelando o esquema de phishing de assinatura Permit2 do Uniswap
Os hackers são uma presença assustadora no ecossistema Web3. Para as equipes de projeto, o código aberto significa que hackers de todo o mundo podem estar de olho em você; um erro em uma linha de código pode deixar uma vulnerabilidade, e as consequências de um incidente de segurança podem ser graves. Para os usuários individuais, se não entenderem o significado de suas ações, cada interação ou assinatura na blockchain pode resultar em roubo de ativos. Portanto, a questão da segurança tem sido um dos problemas mais complicados no mundo das criptomoedas. Devido às características da blockchain, uma vez que os ativos são roubados, é quase impossível recuperá-los, por isso é especialmente importante ter conhecimentos de segurança no mundo das criptomoedas.
Recentemente foi descoberta uma nova técnica de phishing que começou a ganhar destaque nos últimos dois meses; basta assinar e será roubado. A técnica é extremamente oculta e difícil de prevenir, e todos os endereços que interagiram com o Uniswap podem estar em risco. Este artigo irá explicar essa técnica de phishing por assinatura, a fim de evitar mais perdas de ativos.
relato dos acontecimentos
Recentemente, um amigo ( Xiao A ) teve os ativos na sua carteira roubados. Ao contrário das formas comuns de roubo, Xiao A não revelou a chave privada nem interagiu com contratos de sites de phishing. A investigação descobriu que o USDT roubado da carteira de Xiao A foi transferido através da função Transfer From, o que significa que foi outro endereço que operou para mover o Token, e não uma revelação da chave privada da carteira.
Através da consulta dos detalhes da transação, foram encontradas pistas chave:
A questão é como este endereço obteve permissões de ativos? Por que está relacionado com a Uniswap?
A condição para chamar a função Transfer From é que o chamador precisa ter a autorização de limite do Token (approve). A resposta está no fato de que, antes de executar o Transfer From, esse endereço também realizou uma operação de Permit, ambas as operações interagem com o contrato Permit2 da Uniswap.
O contrato Uniswap Permit2 é um novo contrato lançado pela Uniswap no final de 2022, que permite a autorização de tokens para serem compartilhados e geridos em diferentes aplicações, com o objetivo de criar uma experiência de utilizador mais uniforme, mais rentável e mais segura. À medida que mais projetos integram o Permit2, ele pode padronizar a aprovação de tokens em todas as aplicações, melhorando a experiência do utilizador ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
O lançamento do Permit2 pode mudar as regras do jogo em todo o ecossistema Dapp. Nos métodos tradicionais, cada interação de transferência de ativos com um Dapp requer autorização separada. O Permit2 pode eliminar essa etapa, reduzindo efetivamente o custo de interação do usuário e proporcionando uma melhor experiência ao usuário.
Permit2 atua como intermediário entre o usuário e o Dapp, o usuário apenas precisa conceder permissões de Token ao contrato Permit2, todos os Dapps que integram o Permit2 podem compartilhar esse limite de autorização. Isso poderia ser uma situação vantajosa para ambos, mas também pode ser uma arma de dois gumes, o problema reside na forma de interação com o Permit2.
Nos métodos tradicionais de interação, a autorização e a transferência de fundos são interações na cadeia para os usuários. O Permit2 transforma as operações dos usuários em assinaturas fora da cadeia, com todas as operações na cadeia sendo realizadas por um intermediário (, como o contrato Permit2 e os projetos que integram o Permit2 ). A vantagem disso é que, mesmo que a carteira do usuário não tenha ETH, ele pode usar outros Tokens para pagar as taxas de Gas ou ser reembolsado pelo intermediário.
No entanto, a assinatura off-chain é a etapa onde os usuários mais relaxam a vigilância. Muitas pessoas ao usar carteiras para entrar em Dapp não verificam cuidadosamente o conteúdo da assinatura, nem compreendem seu significado, o que é o ponto mais perigoso.
Para usar essa técnica de phishing com a assinatura Permit2, a condição chave é que a carteira alvo do phishing precisa ter autorização de Token para o contrato Permit2 da Uniswap. Atualmente, sempre que você realiza uma troca em um Dapp integrado com o Permit2 ou na Uniswap, é necessário autorizar o contrato Permit2.
O mais assustador é que, independentemente do valor do Swap, o contrato Permit2 da Uniswap irá, por padrão, permitir que os usuários autorizem o saldo total desse Token. Embora o MetaMask permita a entrada de um valor personalizado, a maioria das pessoas pode optar por selecionar diretamente o valor máximo ou o valor padrão, sendo que o valor padrão do Permit2 é um limite infinito.
Isto significa que, desde que tenha interagido com a Uniswap após 2023 e autorizado um montante ao contrato Permit2, poderá estar exposto ao risco deste esquema de phishing.
O foco está na função Permit, que pode transferir o limite de Token autorizado ao contrato Permit2 para outro endereço utilizando a sua carteira. Assim que obtiver a sua assinatura, um hacker pode obter a permissão dos Tokens na sua carteira e transferir os seus ativos.
Como prevenir?
Considerando que o contrato Uniswap Permit2 pode se tornar mais popular no futuro, mais projetos podem integrar o contrato Permit2 para compartilhamento de autorizações, as medidas de prevenção eficazes incluem:
Separação do armazenamento de ativos e carteira de interação: Recomenda-se armazenar uma grande quantidade de ativos em carteiras frias, enquanto as carteiras usadas para interações na cadeia devem conter apenas uma pequena quantia de fundos, o que pode reduzir significativamente as perdas em caso de um golpe de phishing.
Limitar o montante da autorização ou cancelar a autorização: Ao realizar uma troca no Uniswap, apenas autorize o montante necessário para a interação. Embora a necessidade de autorização a cada interação acrescente alguns custos, pode evitar ser vítima de phishing de assinatura Permit2. Se já tiver autorizado um montante, pode utilizar um plugin de segurança para cancelar a autorização.
Identificar a natureza do token, compreender se suporta a funcionalidade permit: Com cada vez mais tokens ERC20 a utilizarem este protocolo de extensão para implementar a funcionalidade permit, é necessário prestar atenção se os tokens que possui suportam essa funcionalidade. Se suportarem, deve ter um cuidado especial nas transações ou operações com esses tokens, verificando rigorosamente se cada assinatura desconhecida envolve a função permit.
Elaborar um plano de resgate de ativos completo: Se descobrir que foi vítima de um esquema, mas ainda possui tokens em outras plataformas através de staking ou outros métodos, é necessário extrair e transferir para um endereço seguro, tendo em atenção que os hackers podem monitorizar o saldo do seu endereço a qualquer momento. Como os hackers têm a sua assinatura, assim que tokens aparecerem no endereço roubado, poderão ser transferidos imediatamente. É necessário elaborar um plano detalhado de resgate de tokens, garantindo que o processo de extração e transferência seja executado em sincronia, não dando aos hackers a oportunidade de inserir transações. Pode considerar usar transferências MEV ou procurar a ajuda de uma empresa de segurança profissional.
No futuro, a pesca com base no Permit2 pode aumentar cada vez mais, sendo este um método de pesca de assinatura extremamente discreto e difícil de prevenir. À medida que a aplicação do Permit2 se expande, mais endereços estarão expostos ao risco. Esperamos que os leitores possam disseminar esta informação para mais pessoas, evitando que mais indivíduos sofram perdas.